Bezpieczeństwo operacji

Zaawansowane środowiska pracy i bezpieczeństwo

• Systemy serwerowe wysokiego bezpieczeństwa — rozwiązania systemów serwerowych wysokiego bezpieczeństwa oraz zaawansowanych systemów plików i przechowywanie danych
• Wirtualizacja i izolacja usług — rozwiązania wirtualizacji systemów i usług oraz izolacji usług i procesów
• Praca w bezpiecznym środowisku — rozwiązania wirtualnych sieci prywatnych, poufności komunikacji, zaawansowanej poufności komunikacji oraz zaawansowanych systemów plików i przechowywanie danych
• Praca z treściami wrażliwymi — rozwiązania zaawansowanych systemów plików i przechowywanie danych, szyfrowania i uwierzytelniania danych oraz zaawansowanego szyfrowania danych

Usługi produkcyjne

• Serwery Web — usługi serwujące treść przez protokół HTTP w zadaniach dowolnych zastosowań, w tym aż po kompleksową pracę w środowiskach chmur i klastrów — rozwiązania WebOps NginxCaddyrelayd
• Środowiska CGI — środowiska wykonania kodu we współpracy z serwerami HTTP, zazwyczaj jako logika dla Web — rozwiązania usług programistycznych PHP i usług programistycznych Go PHPGo
• Systemy baz danych — systemy produkcyjnych baz danych RDBMS i nierelacyjnych działające jako autonomiczne usługi o szerokim zakresie funkcji i protokołów dostępu MySQLPercona MySQLPostgreSQLSQLiteRedis
• Zintegrowane bazy danych — środowiska zintegrowanych baz danych będących częścią aplikacji, rozwiązań programistycznych lub pracujące jako elementy złożonych architektur RocksDBLMDBBerkeleyDB
• Serwery poczty elektronicznej — systemy wymiany poczty, filtrowania spamu oraz dostępu do poczty aplikacji użytkownika OpenSMTPDPostfixRspamd
• Systemy bezpiecznej komunikacji — systemy bezpiecznej komunikacji tekstowej, audio i wideo, zazwyczaj w zamkniętej pętli — rozwiązania poufności komunikacji oraz zaawansowanej poufności komunikacji SignalSimpleXMatrixIRC
• Systemy produkcyjnych klastrów i wirtualizacji — zastosowanie konteneryzacji mikroserwisów i wirtualizacji w podstawowych klastrach i równoważeniu obciążenia — rozwiązania wirtualizacji systemów i usług DockerKVMbhyve
• Repozytoria Git — repozytoria kodu i systemy kontroli wersji z interfejsem Web — rozwiązania GitOps GitGitLabGiteagitolite
• Systemy chmury — usługi budujące systemy łatwej synchronizacji i wymiany danych online — rozwiązania prywatnej i publicznej chmury ownCloudSeafileSyncthingRclone
• Serwery wymiany danych — systemy szybkiej wymiany dużej ilości danych używające bezpiecznych protokołów wysokiej wydajności SFTP i SCP — solutions for zaawansowanych systemów plików i przechowywanie danych ZFSBtrfsOpenSSH

Usługi pomocnicze środowisk produkcyjnych i DevOps

• Serwery uwierzytelnienia — serwery centralnej autoryzacji i uwierzytelnienia systemów, procesów i użytkowników, zazwyczaj w środowiskach DevOps SSSD
• Serwery DNS — serwery nazw przygotowane do szybkiej i bezpiecznej pracy dla środowisk wysokiego bezpieczeństwa i instrumentacji DevOps Unbound
• Serwery SMB i NFS — usługi łatwej wymiany danych w sieciach lokalnych — rozwiązania zaawansowanych sieci komputerowych SambaNFS

Monitorowanie wydajności w systemie Prometheus

• Generowanie lub zbiór metryk wydajności przez eksportery wbudowane w systemy i aplikacje, oraz eksportery i rozwiązania opublikowane jako oprogramowanie wolne — zadania systemów serwerowych wysokiego bezpieczeństwa, usług produkcyjnych i kluczowych serwisów serwerowych oraz wirtualizacji systemów i usług
• Rozwiązania programistyczne generowania lub zbioru metryk wydajności oraz funkcje monitorujące własnego kodu — rozwiązania usług programistycznych PHP oraz usług programistycznych Go

Analiza i wizualizacja wydajności

• Przetwarzanie zebranych danych i szczegółowa wizualizacja w systemie Grafana
• Własne rozwiązania programistyczne przetwarzania danych dostarczonych przez Prometheus/PromQL — rozwiązania usług programistycznych PHP oraz usług programistycznych Go

System plików ZFS typu copy-on-write dla systemów serwerowych

• Bezpieczne środowiska startowe ZFS
• Kryptografia własna ZFS
• Zarządzanie danymi ZFS — eksport, replikacja i odtwarzanie puli i wolumenów
• Integralność danych ZFS — pule i wolumeny redundantne, ZRAID, lustrzane i samo naprawiające się
• ZFS w zastosowaniach specjalnych — pule i wolumeny jednorazowe i tymczasowe
• Optymalizacja struktur ZFS w zastosowaniach wielkoskalowych
• Optymalizacja sprzętu pod system plików ZFS
• Optymalizacja pracy systemu plików ZFS dla baz danych i usług szczególnych
• Różnice w zastosowaniu i pracy między Oracle ZFS, FreeBSD ZFS i OpenZFS

System plików Btrfs typu copy-on-write dla systemów serwerowych Linux

• Zarządzanie danymi Btrfs — eksport, replikacja i odtwarzanie urządzeń Btrfs i subwolumenów
• Integralność danych Btrfs — urządzenia i subwolumeny redundantne, RAID, lustrzane i samo naprawiające się
• Btrfs w zastosowaniach specjalnych — urządzenia i subwolumeny jednorazowe i tymczasowe
• Optymalizacja struktur Btrfs w zastosowaniach wielkoskalowych
• Optymalizacja sprzętu pod system plików Btrfs
• Optymalizacja pracy systemu plików Btrfs dla baz danych i usług szczególnych

Pozostałe systemy plików dla systemów serwerowych

• Standardowe — operacje na ext4, UFS, FFS, Hammer i (ex)FAT(32)
• Protokoły sieciowe — operacje na i implementacja usług dostarczających NFSv3/v4 i SMB — rozwiązania DevOps oraz usług produkcyjnych i kluczowych serwisów serwerowych

Systemy plików APFS dla systemu macOS

• Zaawansowana obsługa i kryptografia własna systemu plików APFS

Szyfrowanie danych

• Rozwiązania podstawowe szyfrowania i uwierzytelniania danych oraz poufności komunikacji
• Rozwiązania zaawansowane systemów serwerowych wysokiego bezpieczeństwa, usług produkcyjnych i kluczowych serwisów serwerowych, wirtualizacji systemów i usług, prywatnej i publicznej chmury, zaawansowanego szyfrowania danych oraz zaawansowanej poufności komunikacji

Systemy szyfrujące dla FreeBSD

• Szyfrowanie urządzeń blokowych
  • geli — zaawansowany system szyfrujący oparty o struktury GEOM i crypto działający jako sprzętowa warstwa abstrakcji pamięci blokowej. W pełni zintegrowany z bootloaderami obsługującymi ZFS i środowiska startowe oparte o ZFS, oferuje pełne szyfrowanie całych wolumenów w zaawansowanych scenariuszach. Zazwyczaj działa jako dostawca urządzeń dla systemów plików UFS lub ZFS. Najprawdopodobniej najbardziej zaawansowany i skuteczny system szyfrujący z obecnie dostępnych.
  • gdbe — system szyfrujący oparty o struktury GEOM i crypto działający jako sprzętowa warstwa abstrakcji pamięci blokowej do specjalnego zastosowania, opracowany w ramach kontraktu dla DARPA. Wolumeny zaszyfrowane gdbe staje się nieodróżnialne od wolumenów wypełnionych przypadkowymi danymi, co kwalifikuje gdbe do szczególnych zastosowań.
• Szyfrowanie własne systemów plików
  • ZFS — szyfrowanie jako funkcja systemu plików ZFS zgodna z implementacją OpenZFS, pozwalająca na wydajne szyfrowanie wybranych datasetów ZFS na wolumenach fizycznych i wirtualnych

Systemy szyfrujące dla OpenBSD

• Szyfrowanie urządzeń blokowych
  • softraid (d:crypto) — system szyfrujący dostarczany na poziomie pseudourządzenia softraid działającego w dyscyplinie CRYPTO jako sprzętowa warstwa abstrakcji pamięci blokowej. Zintegrowanie z bootloaderem pozwala na pełne szyfrowanie całych wolumenów. Działa jako dostawca urządzeń dla FFS i FFS2.

Systemy szyfrujące dla Ubuntu Server

• Szyfrowanie urządzeń blokowych
  • cryptsetup — zaawansowany system szyfrujący oparty o struktury szyfrujące dm-crypt i manager kluczy LUKS, działający jako sprzętowa warstwa abstrakcji pamięci blokowej. W zaawansowanych konfiguracjach oferuje pełne szyfrowanie dysku i współpracę z wybraniami bootloaderami. Dobrze rozwinięty i wydajnych system szyfrujący, może być dostawcą urządzeń dla OpenZFS lub Btrfs.
• Szyfrowanie własne systemów plików
  • ext4 — szyfrowanie jako funkcja standardowego systemu plików obejmująca wybrane katalogi zabezpieczone indywidualnymi kluczami
  • ZFS — szyfrowanie jako funkcja systemu plików ZFS (implementacja OpenZFS) pozwalająca na wydajne szyfrowanie wybranych datasetów ZFS na wolumenach fizycznych i wirtualnych

Systemy szyfrujące dla Oracle Solaris 11

• Szyfrowanie własne systemów plików
  • (Oracle) ZFS — szyfrowanie oryginalnego ZFS we współpracy z systemem kryptograficznym Solaris Cryptographic Framework. ZFS na Solaris jest produktem komercyjnym i jego zamknięty kod źródłowy nie jest dostępny do niezależnego audytu.

Szyfrowanie sprzętowe

• Szyfrowanie sprzętowe i zastosowanie dysków samoszyfrujących (self-encrypting drives) w różnych scenariuszach, w tym jako warstwa podstawowa kompleksowych systemów bezpieczeństwa
  • Dyski samoszyfrujące o indywidualnym schemacie bezpieczeństwa
  • Dyski samoszyfrujące działające w standardzie TCG OPAL

Rozwiązania aktywnej ochrony danych i ochrony typu failsafe

• Rozwiązania szyfrów jednorazowych i tymczasowych
• Aktywna programowa i sprzętowa obrona szyfrowanych systemów i volumenów przed fizyczną ingerencją i zajęciem przez osoby trzecie

Zaawansowana poufność i szczególnie bezpieczna wymiana danych

• Rozwiązania systemów serwerowych wysokiego bezpieczeństwa, poufności komunikacji, zaawansowanej poufności komunikacji oraz inżynierii sieci niepublicznych i anonimowych

Systemy serwerowe na FreeBSD

Zaawansowany Unix BSD o unikatowych możliwościach. Zastosowanie serwerowe.

• Inżynieria systemu
  • Zaawansowana instalacja i recovery
  • Inżynieria źródeł i kernela systemu — budowa systemu ściśle dopasowanego do zadania
  • Środowiska startowe (Boot Environments) i system plików ZFS — rozwiązania zaawansowanych systemów plików i przechowywanie danych
  • Zaawansowany debug i aktywne rozwiązywanie problemów z DTrace
  • Zaawansowany monitoring wydajności systemu i usług — rozwiązania monitorowania wydajności kodu, systemów i usług
• Bezpieczeństwo
  • Wysoce zaawansowana konfiguracja bezpieczeństwa
  • Filtry pakietów IPFW i PF
  • Zaawansowany routing, obsługa i szyfrowanie sieci — rozwiązania wirtualizacji systemów i usług oraz wirtualnych sieci prywatnych
  • Zaawansowane wielopoziomowe systemy szyfrowania danych — rozwiązania zaawansowanych systemów plików i przechowywanie danych, szyfrowania i uwierzytelniania danych oraz zaawansowanego szyfrowania danych
  • Zaawansowana obsługa prywatności i sieci anonimowych — rozwiązania poufności komunikacji, zaawansowanej poufności komunikacji and inżynierii sieci niepublicznych i anonimowych
• Wirtualizacja i izolacja
  • Środowiska izolowane jail
  • Wirtualizacja sieci przez VNET i Netgraph
  • Systemy wirtualizacji bhyve i VirtualBox
  • Rozwiązania wirtualizacji systemów i usług oraz izolacji usług i procesów

Systemy serwerowe na OpenBSD

Legendarnie bezpieczny system z grupą zaufanych demonów. Specyficzne zastosowanie.

• Inżynieria systemu
  • Zaawansowana instalacja i recovery
  • Inżynieria źródeł i kernela systemu — budowa systemu ściśle dopasowanego do zadania
  • Zaawansowany debug i aktywne rozwiązywanie problemów z btrace
  • Zaawansowany monitoring wydajności systemu i usług — rozwiązania monitorowania wydajności kodu, systemów i usług
• Bezpieczeństwo
  • Zaawansowana konfiguracja bezpieczeństwa
  • Filtr pakietów PF
  • Zaawansowany routing, obsługa i szyfrowanie sieci — rozwiązania wirtualizacji systemów i usług oraz wirtualnych sieci prywatnych
  • Systemy szyfrowania danych — rozwiązania zaawansowanych systemów plików i przechowywanie danych, szyfrowania i uwierzytelniania danych oraz zaawansowanego szyfrowania danych
  • Zaawansowana obsługa prywatności i sieci anonimowych — rozwiązania poufności komunikacji, zaawansowanej poufności komunikacji and inżynierii sieci niepublicznych i anonimowych
• Wirtualizacja
  • System wirtualizacji vmm
  • Rozwiązania wirtualizacji systemów i usług, izolacji usług i procesów

Systemy serwerowe na Ubuntu Server

Prosty w obsłudze i wszechstronny Linux. Uniwersalne zastosowanie.

• Inżynieria systemu
  • Zaawansowana instalacja i recovery
  • Inżynieria źródeł i kernela systemu — budowa i obrazowanie dopasowanego systemu
  • Systemy plików OpenZFS i Btrfs — rozwiązania zaawansowanych systemów plików i przechowywanie danych
• Bezpieczeństwo
  • Uproszczona konfiguracja bezpieczeństwa
  • Filtry pakietów iptables i UFW
  • Zaawansowany routing, obsługa i szyfrowanie sieci — rozwiązania wirtualizacji systemów i usług oraz wirtualnych sieci prywatnych
  • Systemy szyfrowania danych — rozwiązania zaawansowanych systemów plików i przechowywanie danych, szyfrowania i uwierzytelniania danych oraz zaawansowanego szyfrowania danych
  • Zaawansowana obsługa prywatności i sieci anonimowych — rozwiązania poufności komunikacji, zaawansowanej poufności komunikacji and inżynierii sieci niepublicznych i anonimowych
• Wirtualizacja i konteneryzacja
  • Uproszczona konteneryzacja mikroserwisów Docker
  • Zaawansowana izolacja i konteneryzacja usług z LXD
  • Zaawansowana wirtualizacja z KVM/Qemu
  • Dalsze rozwiązania wirtualizacji systemów i usług i izolacji usług i procesów

Systemy serwerowe na Oracle Solaris 11

Zaawansowany i potężny korporacyjny Unix o zamkniętym kodzie źródłowym

• Inżynieria systemu
  • Zaawansowana instalacja i recovery
  • Środowiska startowe (Boot Environments) i oryginalny system plików ZFS — rozwiązania zaawansowanych systemów plików i przechowywanie danych
  • Zaawansowany debug i aktywne rozwiązywanie problemów z DTrace
  • Zaawansowany monitoring wydajności systemu i usług — rozwiązania monitorowania wydajności kodu, systemów i usług
• Bezpieczeństwo
  • Zaawansowana konfiguracja bezpieczeństwa
  • Filtr pakietów PF
  • Zaawansowany routing, obsługa i szyfrowanie sieci — rozwiązania wirtualizacji systemów i usług oraz wirtualnych sieci prywatnych
  • Szyfrowanie danych systemu plików ZFS
  • Operacje kryptograficzne z Cryptographic Framework
• Wirtualizacja i izolacja
  • Środowiska wirtualizacji i izolacji Solaris Zones
  • Środowiska wirtualizacji i izolacji kernela Solaris Kernel Zones
  • System wirtualizacji VirtualBox

Planowanie rozwiązań serwerowych

• Doradztwo w zakupie, rozbudowie, konfiguracji fizycznych serwerów i dodatkowego wyposażenia serwerów
• Doradztwo w wyborze optymalnego centrum danych i analiza peeringu

Klastry i konteneryzacja mikroserwisów

• Systemy uproszczone konteneryzacji Docker dla systemów Linux i macOS
• Drugorzędne systemy konteneryzacji dla systemu Linux

Zaawansowana izolacja usług produkcyjnych i sieci wysokiego bezpieczeństwa

• System izolacji i konteneryzacji LXD dla systemu Ubuntu Server
• System zaawansowanej izolacji jail z VNET i Netgraph dla systemu FreeBSD
• System izolacji Solaris Zones i Solaris Kernel Zones dla systemu Oracle Solaris 11
• Drugorzędne systemy izolacji dla systemów Ubuntu Server, FreeBSD i OpenBSD

Głęboka wirtualizacja usług

• Rozwiązania wirtualizacji systemów i usług.
• Rozwiązania systemów serwerowych wysokiego bezpieczeństwa, usług produkcyjnych i kluczowych serwisów serwerowych, prywatnej i publicznej chmury, poufności komunikacji, zaawansowanej poufności komunikacji oraz inżynierii sieci niepublicznych i anonimowych.

Inżynieria, budowa, wyspecjalizowana konfiguracji, zaawansowane bezpieczeństwo i optymalizacja systemów wirtualizacji i indywidualnych maszyn wirtualnych

• System wirtualizacji KVM/Qemu dla systemów Linux
• System wirtualizacji bhyve dla systemu FreeBSD
• System wirtualizacji vmm dla OpenBSD
• System wirtualizacji VMWare dla wielu systemów
• System wirtualizacji VirtualBox dla wielu systemów
• System wirtualizacji UTM/Qemu dla systemu macOS

Bezpieczeństwo wirtualizacji

• Szyfrowanie pełne maszyn wirtualnych
• Szyfrowanie tymczasowe i jednorazowe dla maszyn wirtualnych specjalnego przeznaczenia
• Rozwiązania systemów serwerowych wysokiego bezpieczeństwa, izolacji usług i procesów, wirtualnych sieci prywatnych, inżynierii sieci niepublicznych i anonimowych, zaawansowanych systemów plików i przechowywanie danych, szyfrowania i uwierzytelniania danych oraz zaawansowanego szyfrowania danych

Szyfrowanie i uwierzytelnianie treści, tekstu i indywidualnych plików

• Standard OpenPGP/GnuPG — uniwersalny system szyfrowania i uwierzytelniania treści, tekstu i indywidualnych plików oparty o kryptografię asymetryczną, zdefiniowany przez standardy RFC 4880 i RFC 9580, funkcjonujący jako de facto domyślny system sygnowania oprogramowania i kodu oraz szyfrowania i uwierzytelniania poczty elektronicznej. W użyciu od ponad 30 lat, skuteczność PGP zależy od wybranego rodzaju kluczy i algorytmu szyfrującego. Standard PGP polega na bezpośredniej wymianie kluczy publicznych między stronami komunikującymi się i nie jest zależny od zaufanych osób trzecich.
• Standard S/MIME — uniwersalny system szyfrowania i uwierzytelniania poczty elektronicznej oparty o kryptografię asymetryczną, zdefiniowany przez standard RFC 8551. Standard S/MIME wymaga udziału zaufanych osób trzecich potwierdzających ważność certyfikatów w użyciu.
• Standard signify — system uwierzytelniania plików i tekstu opracowany przez projekt OpenBSD, oparty o kryptografię asymetryczną, łączący możliwie wysoką prostotę i łatwość obsługi z nowoczesną kryptografią

System podpisów elektronicznych i uwierzytelnianie dokumentów

• Operacje na podpisach elektronicznych i certyfikatach regulacji eIDAS — rozwiązania obsługi standardów podpisów elektronicznych CAdES, PAdES i XAdES
• Programistyczne rozwiązania automatycznego lub zintegrowanego zarządzania podpisami elektronicznymi — rozwiązania usług programistycznych PHP, usług programistycznych Go, programistycznego bezpieczeństwa operacji i programistycznego bezpieczeństwa danych

Podstawowe szyfrowane danych

• Szyfrowanie urządzeń blokowych
  • Szyfrowanie własne systemów plików — nowoczesne systemy plików oferujące funkcje szyfrujące, zazwyczaj działające transparentnie bez ingerencji użytkownika.
    Przykład Apple APFS — system plików nowszych systemów Apple macOS szyfrujący dane jako komponent automatyczny Filevault oraz komponent zaawansowany pozwalający na dalej idącą konfigurację przez użytkownika. Funkcje samoszyfrujące platformy Apple Silicon i systemu plików APFS mogą być dobrą podstawą wstępnego bezpieczeństwa danych dla prostych zastosowań. APFS jest produktem komercyjnym o zamkniętym kodzie.
  • Kontenery kryptograficzne i modularne szyfrowanie wybranych wolumenów — systemy podstawowego szyfrowania blokowego, skutecznie zabezpieczające wybrane wolumeny oraz pozwalające na tworzenie kontenerów kryptograficznych, zazwyczaj o otwarty kodzie źródłowym pozwalającym na zewnętrzne audyty bezpieczeństwa.
    PrzykładVeraCrypt — rozwinięcie starszego systemy TrueCrypt
• Szyfrowanie stosowych systemy plików — rozwiązania stosowych systemów plików operujących na poziomie użytkownika, głównie służące do zabezpieczenia wybranych zbiorów danych
  PrzykładyeCrypFs dla Linux lub EncFS dla wielu platform
• Szyfrowanie danych w chmurze — rozwiązania systemów szyfrujących zbiory danych przystosowane do zastosowania z systemami chmur i systemami wymiany plików osób trzecich
  Przykładygocryptfs lub cryfs dla wielu platform

Poufność komunikacji i bezpieczna wymiana danych

• Rozwiązania poufności komunikacji, zaawansowanej poufności komunikacji, wirtualnych sieci prywatnych, prywatnej i publicznej chmury i inżynierii sieci niepublicznych i anonimowych